Angular 验证oidc客户端中的状态和nonce

我所理解的是-oidc客户端生成nonce和state，并将其发送到授权服务器（Identity server 4）。用于防止CSRF攻击、重放攻击

状态和nonce通过下面的SignInDirect（）示例发送

https://auth.azurewebsites.net/Account/Login?
ReturnUrl=%2Fconnect%2Fauthorize%2Fcallback%3F
client_id%3DLocal%26
redirect_uri%3Dhttp%253A%252F%252Flocalhost%253A4200%252Fauth-callback%252F%26
response_type%3Did_token%2520token%26
scope%3Dopenid%2520profile%2520Api%26
state%3D212ee56661074896aea2b6043d2b8a3f%26
nonce%3D393838b342d543d5910f38cbcab22fa0%26
loginType%3DInternal // my extra params

问题1-回调后状态未定义

状态添加到回调URL，如下所示

    http://localhost:4200/auth-callback#id_token=eyJhbG...
    token_type=Bearer
    &expires_in=300&
    scope=openid%20profile%20Api&
    state=155e3e4352814ca48e127547c134144e&
    session_state=DPXW-ijMR4ST9iTSxgMwhsLq7aoknEZOnq3aFDooCFg.ifImJurwkwU6M5lwZXCUuw

状态必须存在于用户中。但在我的例子中，我认为回调方法中的状态是未定义的

  async completeAuthentication() {
    await this.manager
      .signinRedirectCallback()
      .then(x => {
        this.user = x;
        this.user.state = x.state; // undefined
        this.user.session_state = x.session_state;
      })
      .catch(errorData => {
        const expired = errorData;
      });

问题:--

oidc在生成后在何处存储状态

为什么状态是未定义的？如何在回调后检索状态？我猜不是通过URL（路径）

oidc是否在内部验证状态？怎样在哪里

第2期-暂时

在id\ U令牌中接收到nonce值

created: 1594171097
extraTokenParams: {}
id: "5cc732d3b7fe4a0abdb371be3bda69a6"
nonce: "17c3f171328b4542a282fcbdd43d6fe4"

另外我看到有2-4个oidc用户登录后都存储在本地存储中。为什么会这样？它们具有相同的用户信息，但ID和nonce不同。I用户ClearTalEstate（）将在每次重新登录或刷新后生成所有这些

问题-

为什么2-4个用户信息存储在本地存储器中？哪种方法生成本地存储用户

nonce值是每个会话还是每个用户请求

---

生成后，nonce值存储在何处

oidc是否在内部验证nonce？哪里如果不是，我应该怎么做

---

所以我已经调试了代码，找到了你要回答的问题

• nonce值是每个会话还是每个用户请求
  这不应重复，因此它是根据每个请求生成的，以减轻重播攻击

---

• 生成后，nonce值存储在何处
  存储在会话存储中

• oidc是否在内部验证nonce？哪里如果不是，我应该怎么做
  是的，它在内部进行验证。您必须查看oidc客户端js。 我从那里提取了一些代码以获得清晰的视图

    _validateIdToken(state, response) {
       if (!state.nonce) {
           Log.error("ResponseValidator._validateIdToken: No nonce on state");
           return Promise.reject(new Error("No nonce on state"));
       }
  
       let jwt = this._joseUtil.parseJwt(response.id_token);
       if (!jwt || !jwt.header || !jwt.payload) {
           Log.error("ResponseValidator._validateIdToken: Failed to parse id_token", jwt);
           return Promise.reject(new Error("Failed to parse id_token"));
       }
  
       if (state.nonce !== jwt.payload.nonce) {
           Log.error("ResponseValidator._validateIdToken: Invalid nonce in id_token");
           return Promise.reject(new Error("Invalid nonce in id_token"));
       }
  

  }

现在回到状态参数验证。它不再在用户对象中可用，而是在内部进行验证。 下面是从oidc客户端js中提取的代码

processSigninResponse(url, stateStore) {
    Log.debug("OidcClient.processSigninResponse");

    var response = new SigninResponse(url);

    if (!response.state) {
        Log.error("OidcClient.processSigninResponse: No state in response");
        return Promise.reject(new Error("No state in response"));
    }

    stateStore = stateStore || this._stateStore;

    return stateStore.remove(response.state).then(storedStateString => {
        if (!storedStateString) {
            Log.error("OidcClient.processSigninResponse: No matching state found in storage");
            throw new Error("No matching state found in storage");
        }

        let state = SigninState.fromStorageString(storedStateString);

        Log.debug("OidcClient.processSigninResponse: Received state from storage; validating response");
        return this._validator.validateSigninResponse(state, response);
    });
}

---

state和nonce都由oidc客户端库管理。

因此，我调试了代码，并找到了问题以供您解答

• nonce值是每个会话还是每个用户请求
  这不应重复，因此它是根据每个请求生成的，以减轻重播攻击

---

• 生成后，nonce值存储在何处
  存储在会话存储中

• oidc是否在内部验证nonce？哪里如果不是，我应该怎么做
  是的，它在内部进行验证。您必须查看oidc客户端js。 我从那里提取了一些代码以获得清晰的视图

    _validateIdToken(state, response) {
       if (!state.nonce) {
           Log.error("ResponseValidator._validateIdToken: No nonce on state");
           return Promise.reject(new Error("No nonce on state"));
       }
  
       let jwt = this._joseUtil.parseJwt(response.id_token);
       if (!jwt || !jwt.header || !jwt.payload) {
           Log.error("ResponseValidator._validateIdToken: Failed to parse id_token", jwt);
           return Promise.reject(new Error("Failed to parse id_token"));
       }
  
       if (state.nonce !== jwt.payload.nonce) {
           Log.error("ResponseValidator._validateIdToken: Invalid nonce in id_token");
           return Promise.reject(new Error("Invalid nonce in id_token"));
       }
  

  }

现在回到状态参数验证。它不再在用户对象中可用，而是在内部进行验证。 下面是从oidc客户端js中提取的代码

processSigninResponse(url, stateStore) {
    Log.debug("OidcClient.processSigninResponse");

    var response = new SigninResponse(url);

    if (!response.state) {
        Log.error("OidcClient.processSigninResponse: No state in response");
        return Promise.reject(new Error("No state in response"));
    }

    stateStore = stateStore || this._stateStore;

    return stateStore.remove(response.state).then(storedStateString => {
        if (!storedStateString) {
            Log.error("OidcClient.processSigninResponse: No matching state found in storage");
            throw new Error("No matching state found in storage");
        }

        let state = SigninState.fromStorageString(storedStateString);

        Log.debug("OidcClient.processSigninResponse: Received state from storage; validating response");
        return this._validator.validateSigninResponse(state, response);
    });
}

---

状态和nonce都由oidc客户端库管理。

可能有助于授权代码流+PKCE。但PR仍在等待合并和发布。目前，仅为响应\u type=id\u令牌生成nonce

如果我们使用的是授权代码流+PKCE，那么当前这个lib期望nonce以状态出现，并与Id_令牌中的nonce匹配

下面是lib中的一些代码行

if (state.nonce && !response.id_token) {
        _Log.Log.error("ResponseValidator._processSigninParams: Expecting id_token in response");
        return Promise.reject(new Error("No id_token in response"));
    }

    if (!state.nonce && response.id_token) {
        _Log.Log.error("ResponseValidator._processSigninParams: Not expecting id_token in response");
        return Promise.reject(new Error("Unexpected id_token in response"));
    }

而nonce仅在它是隐式流时生成

var oidc = SigninRequest.isOidc(response_type);
var code = SigninRequest.isCode(response_type);

---

可能对授权代码流+PKCE有帮助。但PR仍在等待合并和发布。目前，仅为响应\u type=id\u令牌生成nonce

如果我们使用的是授权代码流+PKCE，那么当前这个lib期望nonce以状态出现，并与Id_令牌中的nonce匹配

下面是lib中的一些代码行

if (state.nonce && !response.id_token) {
        _Log.Log.error("ResponseValidator._processSigninParams: Expecting id_token in response");
        return Promise.reject(new Error("No id_token in response"));
    }

    if (!state.nonce && response.id_token) {
        _Log.Log.error("ResponseValidator._processSigninParams: Not expecting id_token in response");
        return Promise.reject(new Error("Unexpected id_token in response"));
    }

而nonce仅在它是隐式流时生成

var oidc = SigninRequest.isOidc(response_type);
var code = SigninRequest.isCode(response_type);

---

从上面的响应来看，它看起来不错，因为我使用的是oidc库，没有发现任何问题。我在使用iFrame时遇到了类似的问题。您是否可以调试oidc客户端库代码？我想这个库是发送状态参数的，但它在这两者之间越来越慢，这在我看来是个问题。。。。我只是再次调试，看不到用户对象响应的状态。我还必须调试库，nonce和state存储在哪里？当我们执行登录-（返回this.manager.SignInDirect（））时，我只是重定向到authserver页面，存储或cookie中没有保存任何内容。我需要配置一些设置吗？您使用的oidc库的版本是什么。我认为状态存储在存储器中（可能是本地的）。如果您查看最新的oidc库，它不会返回状态参数。我使用的是1.9.1-oidc客户端。“它不返回状态参数”-OK从上面的响应来看，它看起来不错，因为我使用的是oidc库，没有发现任何问题。我在使用iFrame时遇到了类似的问题。您是否可以调试oidc客户端库代码？我想这个库是发送状态参数的，但它在这两者之间越来越慢，这在我看来是个问题。。。。我只是再次调试，看不到用户对象响应的状态。我还必须调试库，nonce和state存储在哪里？当我们执行登录-（返回this.manager.SignInDirect（））时，我只是重定向到authserver页面，存储或cookie中没有保存任何内容。我需要配置一些设置吗？您使用的oidc库的版本是什么。我认为状态存储在存储器中（可能是本地的）。如果您查看最新的oidc库，它不会返回状态参数。我使用的是1.9.1-oidc客户端。“它不返回状态参数”-OK“生成后nonce值存储在哪里？”我认为nonce不在会话存储中，它存储在本地存储的用户信息中（例如oidc.eds…）。但如果是按请求，则应在每次调用AP时将其存储